前言
去年的洞,不小心翻到了,今天又看了一下,发现这个思路还可以,所以给大家分享一下。
从ACL拿下一个url随便测测,发现它是先进入后台再跳转到首页,于是我用burp抓包不放让它卡在后台页面
不过并没有啥用,因为访问之后它第一件事是鉴权,会发起一个鉴权的包,所以一直卡在这里也看不到数据,但是又不能直接丢掉这个鉴权包,为啥嘞,因为丢掉的话它会这样
所以这时候就需要去burp的历史记录中分析数据包了,于是找到一个比较敏感的数据包
原先userId是没有任何参数的,于是我突发奇想给它加了个admin上去,试试看说不定就有用了。不过到后面他这个鉴权的包还是会发出来
这里我陷入了一个思维误区,这次以为这玩意不能丢,其实从我上一步在数据包里面添加了admin之后这玩意就能丢了,这里我绕了半个钟….于是我们把这个包丢掉,然后在这个包之后还会发一个包,这个包也要丢掉
丢掉之后会发现它不会再跳到登录页了,不过数据仍然显示不出来。并且在这个过程中仍然有很多个包,都要通过上述手法进行操作,不然就直接给跳登录页…
在这里后续的思路是,既然看不到数据,那就测它功能点,总有功能点是可以未授权的,于是我找到了这么一个上传文件的功能点
测试之后发现,它这里什么文件都能传,但是就是不解析,会被直接下载。只有html和xml会被解析,xml我打了一下,没有触发,于是换一种思路,在html文件里面写入xss攻击代码,当有人访问这个商品页面的时候,它这个图片地址指向的是我们写入xss代码的html文件地址,所以这时候会弹一个窗出来,也算一个存储型XSS
到此结束,大家有什么其它的思路可以在评论区交流鸭~
★
原文始发于微信公众号(渗透安全团队):漏洞挖掘 | 另类未授权之精准丢包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论